Medarbejderne i en håndværksvirksomhed i Sønderjylland modtog for nyligt en mail fra direktøren, de ikke så hver dag.
Chefen bad bogholderiet om at overføre en halv million kroner til en konto i udlandet.
Heldigvis fattede en ansat mistanke til instruksen om den store overførsel. Og på denne måde undgik selskabet at stille sig op i køen af forurettede, der har været udsat for såkaldt direktørsvindel, hvor kriminelle hacker firmaets mailkonto og begår bedrageri.
Stigende problem
Begrebet kendes også som CEO-fraud eller Business Email Compromise (BEC). Og forsøgene på svindel sker i tilgift ofte, mens direktøren er på ferie eller rejse, så det er sværere at opdage bedrageriet med det samme.
Svindlerne har desuden ofte hacket sig frem til en række interne oplysninger, og derfor ser disse mails ofte meget troværdige ud, når det gælder form og indhold.
Bedrageriet finder sted ved hjælp af
Falske fakturaer sendt til økonomiansvarlige eller bogholdere.
Falske e-mails sendt til økonomiansvarlige eller bogholdere, der foregiver at komme fra en chef eller en kollega, med besked om at overføre et større beløb til en konto.
Kort frist
Svindlerne forsøger desuden ofte at stresse medarbejderen med korte tidsfrister. Og de kriminelle udnytter ofte situationer, hvor den pågældende chef er svært tilgængelig, for eksempel i ferien.
– Om få uger begynder sommerferiesæsonen. Og dermed er risikoen for direktørsnyd større. Af samme årsag er det vigtigt, at alle i virksomheden er klar over risikoen, og at der er klare arbejdsgange for at sikre sig mod denne type bedrageri, understreger specialkonsulent Chr. Østergård fra Syd- og Sønderjyllands Politis Kriminalpræventive Sekretariat.
Han pointerer desuden, at svindlerne bliver mere og mere professionelle.
– De kender ofte navnene på direktøren og andre nøglepersoner, ved hvornår de skal slå til og kan ofte formulere sig på fejlfrit dansk, fastslår specialkonsulenten, der peger på, at antallet af sager om datakriminalitet – sager der blandt andet handler om direktørsnyd – stiger.
Fra 2014 til 2017 er antallet af sager om datakriminalitet i politikredsen således steget med 93,6 procent til 1.322 sager.
Og ser man på udviklingen i årets første fem måneder, har Syd- og Sønderjyllands Politi foreløbig modtaget 288 anmeldelser – en stigning på 126,8 procent, målt i forhold til samme periode af 2014.
[otw_shortcode_info_box border_style=”bordered”]
Gode råd
Chr. Østergård kommer med 12 gode råd til at imødegå CEO-fraud eller Business Email Compromise (BEC).
Indfør et dobbelt kontrolsystem når virksomheden godkender fakturaer og betalinger, og sørg for at procedurerne overholdes på alle niveauer.
Indfør en beløbsgrænse på fakturaer og overførsler af penge, hvor alle skal være ekstra opmærksomme på forsøg på svindel.
Besvarer du en mail fra en person, der beder dig om at overføre penge, så tjek at besvar-adressen er den samme som afsender-adressen i den mail, du modtog. Ring – også gerne for en sikkerheds skyld – til den i virksomheden, der beder dig overføre penge, og få bekræftet, at mailen er korrekt.
Ved den mindste tvivl, ring altid til chefen og få bekræftet overførslen af penge. Og aftal på forhånd, at chefen selv ringer og bekræfter, at det haster med at overføre store beløb.
Videresend mailen til chefen, hvor du sikrer dig, at det er den rigtige mailadresse, du bruger. Og ved denne lejlighed kan chefen bekræfte, at overførslen er korrekt.
Overvej hvilke oplysninger virksomheden lægger på hjemmesiden og på Facebook. Det er ofte her, svindlerne får deres informationer. Det gælder for eksempel oplysninger om, at chefen holder ferie, og at mails derfor skal sendes til andre.
Hold jeres IT-sikkerhedssystemer opdaterede.
Vær altid opmærksom på vedhæftede links i mails. Svindlere vedhæfter ofte falske links, der lukker virus ind i firmaets IT-systemer. Nogle IT-vira giver svindlerne adgang til virksomhedens mailkorrespondance, og virusangrebet kan således være første fase i bedrageriet.
Vær specielt opmærksom hvis I skal overføre penge til udenlandske kontonumre. Svindlere bruger ofte udenlandske bankkonti, da de er sværere at spore. Vær også særligt opmærksom, hvis I for eksempel modtager en faktura fra en fast leverandør med et nyt kontonummer.
Informer jeres personale i alle led i organisationen om risikoen og fortæl dem, hvordan de spotter svindlen.
Vær især opmærksom hvis mailen indeholder sproglige fejl eller stavefejl. Det sker stadig, at nogle IT-kriminelle forsøger sig med oversættelser via Google Translate, selvom mange er blevet mere professionelle.
Spørg jeres IT-leverandør om der er styr på mailsikkerheden i virksomheden. Det gælder for eksempel teknologier som SPF1, DKIM, og DMARC, der kan sortere uønskede mails fra. Og hvis teknologierne ikke er sat op, så spørg hvorfor.
Fakta: Hvad er bedrageri?
Ved bedrageri vildleder en gerningsmand en person til at gøre noget, vedkommende ellers ikke ville have gjort, og dermed får gerningsmanden en økonomisk gevinst. Det kan for eksempel være, at man sætter en falsk vare til salg på nettet, som en person betaler for i god tro.
Fakta: Hvad er databedrageri?
Ved databedrageri snyder en gerningsmand selve IT-systemet, for eksempel ved at hacke sig ind. Her har han ikke haft kontakt til nogen personer. Der kan for eksempel være tale om et netbankindbrud eller en sag, hvor gerningsmanden via forskellige metoder har fået adgang til forurettedes kreditkort-informationer.
[/otw_shortcode_info_box]